Skupina výzkumníků z Vrije Universiteit Amsterdam a ETH Zurich vyvinula techniku síťového útoku (Network Cache ATtack), který umožňuje pomocí metod analýzy dat prostřednictvím kanálů třetích stran vzdáleně určit klávesy stisknuté uživatelem při práci v relaci SSH. Problém se objevuje pouze na serverech, které používají technologie (Vzdálený přímý přístup do paměti) a (Data-Direct I/O).
Intel , že útok je v praxi obtížně realizovatelný, protože vyžaduje přístup útočníka do lokální sítě, sterilní podmínky a organizaci hostitelské komunikace pomocí technologií RDMA a DDIO, které se obvykle používají například v izolovaných sítích, ve kterých clustery fungují. Problém je hodnocen jako vedlejší (CVSS 2.6, ) a je dáno doporučení nepovolovat DDIO a RDMA v lokálních sítích, kde není zajištěna bezpečnostní perimetr a je povoleno připojení nedůvěryhodných klientů. DDIO se v serverových procesorech Intel používá od roku 2012 (Intel Xeon E5, E7 a SP). Systémy založené na procesorech od AMD a dalších výrobců nejsou tímto problémem ovlivněny, protože nepodporují ukládání dat přenášených po síti do mezipaměti CPU.
Metoda použitá pro útok připomíná zranitelnost "“, který umožňuje měnit obsah jednotlivých bitů v RAM prostřednictvím manipulace se síťovými pakety v systémech s RDMA. Nový problém je důsledkem práce na minimalizaci zpoždění při použití mechanismu DDIO, který zajišťuje přímou interakci síťové karty a dalších periferních zařízení s mezipamětí procesoru (v procesu zpracování paketů síťových karet dochází k ukládání dat do mezipaměti a načteno z mezipaměti, bez přístupu do paměti).
Díky DDIO obsahuje mezipaměť procesoru také data generovaná při škodlivé síťové aktivitě. Útok NetCAT je založen na skutečnosti, že síťové karty aktivně ukládají data do mezipaměti a rychlost zpracování paketů v moderních lokálních sítích je dostatečná k ovlivnění zaplnění mezipaměti a určení přítomnosti nebo nepřítomnosti dat v mezipaměti analýzou zpoždění během dat. převod.
Při použití interaktivních relací, např. přes SSH, je síťový paket odeslán ihned po stisku klávesy, tzn. zpoždění mezi pakety koreluje se zpožděním mezi stisky kláves. Pomocí metod statistické analýzy as přihlédnutím k tomu, že prodlevy mezi stisky kláves obvykle závisí na poloze klávesy na klávesnici, je možné zadané informace s určitou pravděpodobností znovu vytvořit. Většina lidí má například tendenci psát „s“ po „a“ mnohem rychleji než „g“ po „s“.
Informace uložené v mezipaměti procesoru také umožňují posoudit přesný čas paketů odeslaných síťovou kartou při zpracování spojení, jako je SSH. Generováním určitého toku provozu může útočník určit okamžik, kdy se v mezipaměti objeví nová data spojená s konkrétní aktivitou v systému. K analýze obsahu mezipaměti se používá metoda , což zahrnuje naplnění mezipaměti referenční sadou hodnot a měření doby přístupu k nim při opětovném naplnění za účelem zjištění změn.
Je možné, že navrhovanou techniku lze použít nejen k určení úhozů kláves, ale také jiných typů důvěrných dat uložených v mezipaměti CPU. Útok může být potenciálně proveden, i když je RDMA deaktivováno, ale bez RDMA je jeho účinnost snížena a provádění je výrazně obtížnější. Je také možné použít DDIO k uspořádání skrytého komunikačního kanálu používaného k přenosu dat poté, co byl server kompromitován, čímž se obejdou bezpečnostní systémy.
Zdroj: opennet.ru